Aineiston rajaaminen ja karsinta

Koska GDPR on kokonaisuudessaan täysin uusi asetus ja sellaisenaan sovellettava, sen kaikki 99 artiklaa olivat lähtötilanteessa mukana. PSD2 puolestaan on päivitetty versio PSD:stä ja tutkielman kiinnostuksen kohteena ovat nimenomaan PSD2:n vaikutukset ja muutokset. Tämän vuoksi PSD2:n liitteenä olevan vastaavuustaulukon mukaan karsin aineistosta ensimmäisenä pois PSD:ssä ilmenneet säännökset, minkä jälkeen tutkimusaineistoksi jäi 43 artiklaa. Liitteeseen 1 olen koonnut vastaavuustaulukon perusteella artiklat ja niiden kohdat, jotka jäivät tutkimusaineistoksi. Tarkempaan analyysiin päätyneet artiklat olen koonnut taulukoihin 3 ja 4, joissa mustilla numeroilla näkyvät artiklat jäivät tarkemmin analysoitavaan aineistoon ja punaisilla yliviivatuilla numeroilla aineiston ulkopuolelle rajatut artiklat. Näissä taulukoissa on myös analyysin myöhemmissä vaiheissa aineiston ulkopuolelle jätetyt artiklat merkitty punaisella. Perusteet näiden artiklojen ulkopuolelle jättämiselle ovat luvussa 5.3.2.

Digitaalisten pankkipalveluiden taustalla on aina jokin organisaatio tai yritys, jonka asiakkaat käyttävät kyseisiä palveluita. Koska tutkielman analyysin kohteena olevat oikeuslähteet (erityisesti GDPR) eivät mainitse tai keskity ainoastaan digitaalisiin pankkipalveluihin, päätin kiinnostuksen kohteenani olevan artiklat, jotka vaikuttavat palveluiden taustalla olevaan yritykseen ja sen toimintaan tai ovat yhdistettävissä johonkin asiakaskokemuksen kosketuspisteiden elementtikategoriaan. Digitaalisiin pankkipalveluihin kohdistuvat vaikutukset pyrin etsimään vastaamalla kysymykseen, mikä muuttuu? Tämä sen vuoksi, että vaikutuksen Taulukossa 2 esittelemäni asiakaskokemuksen kohtaamispisteiden elementtikategoriat toimivat tämän analyysin teoreettisena pohjana ja ohjaavana voimana, koska ne ja niiden tekijät eivät ole abstrakteja kuten taulukossa 1 esittämäni ulottuvuudet ja niiden merkitykset. Vaikutukset digitaalisiin pankkipalveluihin

Tutkimuksen lähtötilanteessa aineisto koostui yhteenä 142 artiklasta. Tätä aineistoa tulee kuitenkin rajata, koska oikeuslähteissä säädetään muun muassa valvontaviranomaisten toiminnasta sekä voimaantulosta. Tutkimuksen ja varsinaisen analyysin kiinnostuksen kohteiden vuoksi tällaisten artiklojen ei ole syytä olla mukana lopullisessa analyysissa.

Luku I sisältää GDPR:n yleiset säännökset, joita ovat kohde ja tavoitteet, aineellinen soveltamisala, alueellinen soveltamisala ja määritelmät. Nämä artiklat 1–4 eivät suoraan liity tutkimuskysymyksiin, joten karsin nämä pois aineistosta. Olen kuitenkin tämän tutkielman luvussa 4.2 esitellyt GDPR:ää yleisellä tasolla ja käytän artiklassa 4 esiteltyjä termejä ja määritelmiä myös tässä tutkielmassa muutoin. Näistä syistä rajasin luvun I tarkemmin analysoitavasta aineistosta. Lisäksi luvut VI ja VII eli artiklat 51–76 olen rajannut tarkemman analyysin ulkopuolelle, koska ne käsittelevät riippumattomia valvontaviranomaisia.

Luvun II artiklat 10 ja 11 käsittelevät rikostuomioihin ja rikkomuksiin liittyvää käsittelyä sekä käsittelyä, joka ei vaadi käyttäjän tunnistamista.

Rikostuomiot eivät suoraan liity digitaalisiin pankkipalveluihin tai asiakaskokemukseen. Lisäksi digitaalisia pankkipalveluja ei voi nykyisen lainsäädännön mukaan käyttää ilman tunnistamista (ks. PSD2) eli nämä artiklat eivät päätyneet tarkempaan analyysiin.

Luku VIII käsittelee oikeussuojakeinoja, vastuita ja seuraamuksia.

Käytännössä luku käsittelee rekisteröidyn oikeussuojakeinoja niin valvontaviranomaisia kuin rekisterinpitäjiä vastaan. Artiklat 77–81 liityvät voimakkaasti rekisteröidyn eli käyttäjän ja valvontaviranomaisten väliseen toimintaan, joten rajasin kyseiset artiklat pois. Artiklat 83 ja 84 puolestaan käsittelevät valvontaviranomaisten ja jäsenvaltioiden oikeuksia ja velvollisuuksia muun muassa hallinnollisista sakoista, jotka yritykselle voidaan langettaa tämän asetuksen rikkomisesta. Nämä eivät kuitenkaan liity suoraan digitaalisiin pankkipalveluihin tai asiakaskokemukseen.

Luvusta V rajasin tarkemmin analysoitavan aineiston ulkopuolelle artiklan 50, koska sen sisältö ja toimet koskettavat komission ja valvontaviranomaisten kansainvälistä yhteistyötä. Tämän vuoksi sen sisältö ei ole olennaista tutkimuskysymyksien kannalta.

Luku IX käsittelee tietojenkäsittelyyn liittyvien erityistilanteiden säännöksiä. Artikla 85 keskittyy henkilötietojen käytön journalistisiin tarkoituksiin, joista jäsenvaltioiden tulee säätää kansallisesti. Artikla 86 puolestaan koskee viranomaisia ja julkis- tai yksityisoikeudellisten yhteisöken yleisen edun vuoksi toteutettavaa tehtävää. Nämä artiklat rajasin niiden sisällön vuoksi pois aineistosta. Artikla 88 koskee henkilötietojen käsittelyä työsuhteessa, minkä vuoksi rajasin tämänkin artikkelin pois. Artikla 90 sisältö on kohdistettu jäsenvaltioiden toimintaan ja artikla 91 puolestaan kirkoille ja uskonnollisille yhdistyksille, joten myös nämä artiklat jäivät pois aineistosta.

X luku eli artiklat 92–93 sekä XI luku eli artiklat 94–99 rajasin pois aineistosta, koska ne liittyvät komission toimiin, tulevaisuuden lainsäädäntötyöhön, ja asetuksen voimaantuloon, GDPR:n ja muiden oikeuslähteiden keskinäisiin suhteisiin. Tämän karsinnan jälkeen minulla jäi tarkempaan analyysiin luvuista III, IV, V, VIII ja IX artiklat 5–9, 12–49, 82, 87 ja 89.

8 (VIII) Oikeussuojakeinot, vastuu ja seuraamukset (77 – 81) 82 (83 – 84) 9 (IX) Tietojenkäsittelyyn liittyviä erikoistilanteita

koske-vat säännökset (85 – 86) 87 (88) 89 (90–91)

10 (X) Delegoidut säädökset ja täytäntöönpanosäädökset (92 – 93)

11 (XI) Loppusäännökset 94 – 99

Aineistolähtöisyyden perusteella rajasin myös PSD2-aineistoa tutkimuksen kiinnostuksen kohteisiin. Aloitin rajauksen hyödyntämällä PSD2-direktiivin liitteenä olevaa vastaavuustaulukkoa, jonka perusteella analysoitavaksi aineistoksi jäisi vain PSD2:lle ominaiset muutokset ja joita ei esiinny ensimmäisessä maksupalveludirektiivissä eli PSD:ssä. Tämän tutkielman liitteessä 1 on vastaavuustaulukon mukaisesti poimittuna aineistona käytettävät artiklat ja niiden kohdat. Selkeyden ja vertailtavuuden vuoksi tein GDPR-aineistoa vastaavan taulukon, jossa on nähtävillä direktiivin osastot, osastojen otsikot ja artiklojen numerot (taulukko 4). Kyseinen taulukko esittää tarkempaan analyysiin ja sen ulkopuolelle jääneet artiklat täysin samoin kuin taulukko 3. PSD2 sisällyttää tilitietopalvelut (myöh. AIS) ja palveluntarjoajat (myöh. AISP) tämän lainsäädännön alaisuuteen. Tämä on täysin uutta, ja artiklassa 33 säädetään AIS-palveluhin sovellettavat artiklat. Näistä artikloista ja niiden kohdista kaikki eivät ole vastaavuustaulukon mukaan uusia säädöksiä.

Nämä artiklat on lisätty taulukkoon 2 omaan sarakkeeseen. Seuraavissa kappaleissa kerron ratkaisut, miksi yliviivatut artiklat on jätetty tarkemmasta analyysista.

I osaston artikla 2 käsittelee PSD2:n soveltamisalaa. Lain tulkinnan ja soveltamisen vuoksi tässä tutkielmassa oletetaan, että maksupalveluntarjoajat sijaitsevat Euroopan unionin alueella ja/tai ovat suomalaisten käytettävissä.

Artikla 4 sisältää direktiivissä käytettyjä termejä ja niiden määritelmät. Artikla 6 keskittyy yritysten omistusosuuksien valvontaan ja velvollisuudesta ilmoittaa maksulaitoksen toimivaltaiselle viranomaiselle. Näiden artiklojen sisällöt eivät ole olennaisia tutkimuskysymyksien kannalta, joten jätin tämän osaston analysoitavan aineiston ulkopuolelle, vaikka erityisesti määritelmiä hyödynnänkin tutkielmassa.

II osaston artiklat 14 ja 15 rajautuivat pois aineistosta, koska ne käsittelevät jäsenvaltioiden ja pankkiviranomaisiin kohdistuvaa velvollisuutta perustaa ja

ylläpitää julkista rekisteriä. Artiklassa 19 vain alakohta 8 on uutta sääntelyä, ja se säätää maksulaitosten velvollisuudesta ilmoittaa ulkoistettujen toimintojen muutoksista kotijäsenvaltion toimivaltaiselle viranomaiselle. II osaston artiklat 27–31 käsittelevät jäsenvaltioiden toimivaltaisia viranomaisia ja niiden toimia, joten rajasin kyseiset artiklat pois aineistosta. Niin sanotut vanhat artiklat 22-26 käsittelevät myöskin toimivaltaisia viranomaisia. IV osaston artikla 100 käsittelee jäsenvaltioihin nimettäviä toimivaltaisia viranomaisia, jotka eivät saa olla maksupalveluntarjojia (keskuspankkeja lukuunottamatta), minkä vuoksi rajasin kyseisen artiklan pois aineistosta. Artikla 103 puolestaan käsittelee toimia, joita jäsenvaltioiden tulee tehdä eli tämänkin rajasin pois.

V osaston artikla 96 säätää palveluntarjoajien velvollisuuksista ja viestinnästä viranomaisille, minkä vuoksi olen rajannus sen aineiston ulkopuolelle. Artiklat 104–106 käsittelevät komissiota, minkä vuoksi nämä artiklat eivät liity tutkielman aiheeseen. VI osaston artiklan 109 rajasin pois aineistosta, koska se käsittelee direktiivin siirtymäaikaa keskittyen luonnollisten henkilöiden ja oikeushenkilöiden toimilupiin. Artiklat 111–112 viittaavat jo olemassaoleviin ja sovellettaviin oikeuslähteisiin, joita tämän direktiivin perusteella muutetaan. Näiden oikeuslähteiden sisällöt kuitenkin ylittävät tämän tutkielman laajuuden, joten nämä jätin nämä artiklat pois aineistosta.

Lisäksi artikla 115 säätää direktiivin saattamisesta osaksi kansallista lainsäädäntöä ja sen aikataulun, minkä vuoksi olen rajannut myös sen pois.

Aineiston rajauksen jälkeen analysoitaviksi jäivät II osaston artiklat 5, 33, 36 ja 37, III osaston artiklat 45–47 ja 60 sekä IV osaston artiklat 62, 65–57, 71, 73, 75–76, 90, 90–94 ja 101.

TAULUKKO 4 PSD2-aineisto vastaavuustaulukon mukaan ja karsintojen jälkeen

OSASTO OTSIKKO UUDET ARTIKLAT VANHAT

1 (I) Kohde, soveltamisala ja määritelmät 2, 4

2 (II) Maksupalveluntarjoajat 5, 6, 14–15, 19, 27–31, 33, 36, 37

22-26 3 (III) Maksupalveluehtojen avoimuus ja niitä

koskevat tietojenantovaatimukset 45–47, 60 4 (IV) Oikeudet ja velvollisuudet, jotka

liitty-vät maksupalvelujen tarjoamiseen ja käyttöön

62, 65–67, 71, 73, 75–

76, 90, 94, 95, 96, 97, 98, 100, 101, 103 5 (V) Delegoidut säädökset ja tekniset

säänte-lystandardit

104 – 106

6 (VI) Loppusäännökset 109, 111 – 112), 115